Runecast Analyzer ist ein Tool zur automatisierten Analyse potenzieller Fehlerquellen in VMware-Installationen. Der Administrator kann damit vSphere, vSAN, NSX oder Horizon auf fehlende Patches, Inkompatibilitäten oder Fehlkonfigurationen untersuchen. Runecast nutzt dafür Quellen wie die VMware Knowledgebase.*
In den vergangenen Jahren sind VMware-Umgebungen immer komplexer geworden, weil vSphere kontinuierlich um neue Funktionen, beispielsweise für Netzwerk- und Storage-Virtualisierung, erweitert wurde. VMware selbst hat zwar leistungsfähige Management-Werkzeuge wie vRealize Operations Manager (vCOPS ) oder Log lnsight, deren Lizenzkosten sind aber für kleinere Unternehmen meist zu hoch.
Außerdem liegt der Fokus von vCOPS eher auf dem Operations Management und der von Log Insight bei der Performance- und Fehleranalyse. Daher helfen diese Tools nur bedingt, wenn Bugs, Inkompatibilitäten, Treiber oder fehlerhafte Konfigurationen zu Problemen führen.
Proaktive Analyse
Sämtliche Konfigurationsmängel und Sicherheitsrisiken einer komplexen VMware-Umgebung selbst zu erkennen, ist eine beinahe unlösbare Aufgabe. Meist scheitert es schon daran, sämtliche relevanten Informationen zu finden und auszuwerten.
Der proaktive Ansatz von Runecast folgt der Erkenntnis, dass 90 Prozent aller vSphere-Probleme auf dokumentierte, also bekannte Ursachen zurückzuführen sind. Daher beruht die Leistungsfähigkeit von Runcecast vor allem in der Anzahl und Qualität der genutzten Quellen.
Vertrauenswürdige Quellen
Runecast scannt die Virtualisierungsumgebung einschließlich vSAN, NSX sowie Horizon und prüft das Ergebnis gegen seine Wissensdatenbank. Außerdem nutzt Runecast der vSphere-API zum Auslesen von Konfigurationen, Versionsnummern oder Hardware-Informationen.
Die Datenbasis speist sich aus insgesamt sechs Quellen, angefangen von der VMware Config Knowledge Base (KB) bis hin zu den von VMware empfohlenen Best Practices. Allein die KB enthält aktuell über 46000 Artikel mit Hinweisen. Darin zeigt sich, wie aufwändig eine manuelle Prüfung wäre.
Weitere vier Quellen befassen sich ausschließlich mit dem Thema Härtung. Hier dient der VMware Security Hardening Guide als Basis, ergänzt von den Sicherheitsvorgaben des Security Technical Implementation Guide (DISA STIG) und den PCI-DSS-Richtlinien (Payment Card Industry Data Security Standard) und HIPAA (Health Insurance Portability and Accountability Act).
Kunden aus dem Finanzsektor können mit Runecast auch prüfen, ob die VMware-Umgebung den PCI-DSS-Standard einhält. In der neuen Version 3.1 berücksichtigt Runecast außerdem noch die IT-Grundschutzempfehlungen des BSI.
Administratoren können aber frei konfigurieren, welche Quellen sie überhaupt verwenden möchten und auch innerhalb der Quellen von vorneherein nach Schweregrad filtern oder entscheiden, ob sie sich auf VMs, vCenter oder Hosts beziehen sollen.
Log-Analyse
Zusätzlich zum Prüfen der Systemkonfiguration untersucht Runecast auf Wunsch auch die Logfiles. Dazu muss der Analyzer als Syslog-Server konfiguriert werden, um die Logs der beteiligen Systeme einsammeln zu können.
Eine weitere Voraussetzung ist, dass auf den Hosts oder VMs die Syslog-Funktion aktiviert wurde. Runecast kann dies selbst erledigen, so dass eine manuelle Konfiguration entfällt. Alternativ bringt das Tool ein PowerShell-Script für diese Aufgabe mit. Die Einstellungen hierzu (Runecast als Syslog-Ziel auf RDP 514 für jeden Host) finden sich unter Settings => Log Analysis.
Die Log-Dateien wertet Runecast Analyzer dann gegen die VMware-Log-KB (im Gegensatz zum oben erwähnten Config-KB) aus. Die Appliance speichert nicht alle Logs, sondern nur die auf Risiken hinweisenden Einträge. Sie löscht zudem ältere Logs nach 30 Tagen automatisch oder wenn das Gesamtvolumen 30 GB überschreitet. Beide Werte kann man bei Bedarf anpassen.
Einfache Einrichtung als Appliance (OVA)
Die Inbetriebnahme von Runecast ist einfach, da der Hersteller die App in Form einer nur knapp 1,2 GB kleinen virtuellen Appliance zur Verfügung stellt. Sie lässt sich wie gewohnt über den vSphere-Client in die vorhandene Umgebung importieren.
Zu konfigurieren ist dabei erfreulich wenig. Der Admin muss neben Host und Datastore nur eine Deployment-Größe (small, medium oder large) festlegen. Small reicht für Umgebungen mit bis zu 10 Hosts, wobei die VM dann 2 vCPUs dann 4GB Memory konsumiert.
Außerdem muss noch die Portgruppe für das VM-Netzwerk ausgewählt werden. Wer möchte, kann die Netzwerkeinstellungen der Appliance (Default ist DHCP) im letzten Schritt des OVA-Bereitstellungsassistenten anpassen. Sie lassen sich auch später noch ändern, aber nicht in der Web-GUI, sondern nur an der Appliance-Konsole mit dem User rcadmin und dem Passwort admin.
Ersteinrichtung
Updates für die Wissensdatenbank kann das System automatisch über das lnternet oder manuell über eine ISO- Datei beziehen. Dieser Vorgang lässt sich unter Settings => Update aus der Web-GUI anstoßen.
Die Analyse erfolgt beim Anwender, ohne dass Daten in die Cloud übertragen werden. Dem Versenden anonymisierter Daten zu Zwecken der Produktverbesserung kann der Nutzer allenfalls explizit zustimmen.
Der Runecast Analyzer benötigt Zugriff auf vCenter, allerdings reicht dabei ein User mit Leserechten, weil das Tool dort keine Änderungen vornimmt. Die erstmalige Verbindung zu vCenter erfolgt im Verlauf der ersten Anmeldung an der Web-GUI mit den vorgegebenen Credentials rcuser/Runecast!.
Dabei kann man auch festlegen, in welchen zeitlichen Abständen ein Scan erfolgen soll oder ob man diesen manuell ausführen möchte.
Nach der ersten Anmeldung sollte man unter Settings einige Einstellungen anpassen, zum Beispiel den Default-User unter User Profile durch einen anderen ersetzen oder zumindest dessen Passwort ändern.
Zugriffsberechtigungen auf die GUI lassen sich wahlweise über die lokale Benutzerdatenbank oder eine AD-Anbindung vergeben. Findet das System zudem einen NSX-Manager, fragt die Appliance von sich aus die relevanten Verbindungseinstellungen ab.
Runecast kann auch Horizon-Umgebungen analysieren. Dazu muss man allerdings in der Web-GUI unter Settings Connections neben dem zuvor eingerichteten vCenter-Connector mit der Schaltfläche Add Horizon einen Connector selbst hinzufügen.
Arbeiten mit Runecast
Ausgangspunkt der Arbeit mit Runecast ist das Dashboard, das sich nicht anpassen lässt. Es zeigt in verschiedenen Diagrammen die ermittelten Risiken, gruppiert nach verschiedenen Aspekten. Dazu zählen der Schweregrad (Critical, Major, Medium und Low), die Betriebsebene (Management, VM, Compute, Network und Storage) oder die betroffenen Hosts.
Neben dem Dashboard finden sich im Menü noch die Detailansichten Inventory View und All Issues View. Letztere konzentriert sich gezielt auf Risiken und zeigt, auf welchen Instanzen welche Gefahren mit welchem Schwergrad ermittelt wurden. Ergänzend zeigt der obere Teil des Fensters einen aggregierten zeitlichen Verlauf der Risiken über die letzten Tage.
Bei jedem einzelnen Issue kann man mit einem Klick auf das Plus-Symbol zur Detailansicht wechseln. Sie listet nicht nur die Einzelheiten auf, sondern zeigt im Reiter Findings auch die betroffenen Objekte.
So erkennt der Administrator zum Beispiel, dass Network-Healthchecks für Distributed vSwitch aktiviert sind, die nach der Empfehlung von VMware aber nur für Troubleshooting-Zwecke eingeschaltet werden sollten.
Die Inventory View orientiert sich an den Instanzen, sie gruppiert also Risiken nach Hosts, VMs oder Datastores. Sie bietet die Möglichkeit, sich gezielt durch den Objektbaum zu bewegen. Die Baumansicht zeigt dabei aber bereits die Anzahl der Risiken pro Objekt.
Von hier kann man dann für jede Instanz in die Detail-Ansicht abtauchen.
Auf Wunsch versendet die Appliance das Analyseresultat per E-Mail, sofern SMTP in den Einstellungen konfiguriert wurde. Runecast bringt aber auch eine REST-API mit, so dass sich der Analyzer auch mit anderen Tools abfragen lässt, beispielsweise mit dem Orchestrator für übergreifende Automatisierungs-Workflows.
Für solche Fälle kann man in den Settings ein API Access Token zur Authentifizierung erzeugen. Dieses benötigt man auch dann, wenn der Admin statt der Web-GUI das Plug-in für den vSphere Client nutzen möchte. Dieses lässt sich einfach in der Web-GUI beim vCenter-Connector unter Connections in der Spalte Actions mit Install Plugin einrichten.
Ist das geschehen, zeigt der vSphere Client bei Objekten wie Datacenter, Host, VM oder Datastore auf der Registerkarte Monitor einen Abschnitt Runecast Analyzer.
Runecast 3.1
Die Version 3.x führte einige spannende Funktionen ein. So bietet sie eine aggregierte Ansicht der vSAN-Datenträgerinformationen. Admins können damit die Firmware-Version, Tier, Modellnummer (die ESXi auf 16 Zeichen kürzt) und den Controller, mit dem der Datenträger verbunden ist, an einem Ort finden.
Darüber hinaus können alle Upgrade-Informationen in eine CSV-Datei exportiert werden, um detailliertere Berichte zu Treibern, Firmware und anderen Aspekten von vSAN zu erstellen.
Mit dabei ist auch eine neue Version der ESXi-Host-Upgrade-Simulation, die Systeme anhand der Hardware-Kompatibilitätsliste (HCL) von VMware überprüft. Sie unterstützt nun auch vSAN. Administratoren erhalten damit wichtige Hinweise auf die Zuverlässigkeit und potenzielle Probleme ihrer Umgebung nach einem Upgrade.
Fazit
Die Funktionen von Runecast überschneiden sich in einigen Bereichen mit vCOPS und Log Insight, kann diese aber nicht ersetzen. So ist es etwa nicht seine Aufgabe, hohe Systemauslastungen zu erkennen. Insofern bietet sich das Tool als Ergänzung zu vorhandenen Überwachungs- und Management-Tools an.
Dafür findet Runecast wiederum Probleme, die sich mit anderen Tools ungleich schwerer aufdecken lassen. So kann es durch Vergleichen der bestehenden Konfiguration mit der Knowledge Base Probleme abfangen, bevor diese tatsächlich auftreten.
Auch bei Runecast muss der Admin die vorgeschlagenen Änderungen selbst umsetzen, das Tool wird ja standardmäßig nur mit Leserechten konfiguriert. Wer mehr Automatisierung will, könnte etwa über vRealize Orchestrator einen Workflow anstoßen und dafür die in Runecast Analyzer enthaltene Rest-API nutzen.
Insgesamt spart Runecast dem Administrator im Alltag viel Zeit durch die proaktive Problemerkennung.
Verfügbarkeit
Die Appliance kann von der Website des Herstellers heruntergeladen werden. Hat man keine Lizenzdatei, dann lässt sie sich funktional eingeschränkt als zweiwöchige Trial-Version nutzen (es fehlen einige Detailansichten).
Die kurze Trial-Periode ist nachvollziehbar, weil Runecast ein Tool ist, das man ohnehin nur bei Bedarf laufen lässt (etwa einmal pro Woche), um eine aktualisierte Analyse zu bekommen. Eine vorhandene Lizenz kann man später unter Settings => Licenses einspielen und dabei den Hosts zuweisen.
*Dieser Text ist ein bezahlter Beitrag von Runecast.
Thomas Drilling arbeitet ist seit fast 30 Jahren selbständig in der IT-Welt sowohl als Consultant, als auch als Redakteur, Buchautor und Journalist für viele ehemalige und aktuelle IT-Magazine sowie Blogs.
Aktuell bestätigt sich Thomas schwerpunktmäßig als IT-Trainer für Cloud-Computing in den Bereichen Microsoft Azure, Amazon Web Services und VMware.
Thomas ist zertifizierter Microsoft-Trainer für nahe das gesamte Portfolio an Microsoft Azure Trainings. Thomas ist außerdem zertifizierter Microsoft Azure Solutions Architect Expert sowie VMware Certified Professional und wurde von VMware in den Jahren 2016 bis 2022 mit dem Blogger-Status vExpert ausgezeichnet.
Thomas führt aktuell jeden Monat zwei selbstkonziperte 4-tägigen Grundlagenkurse in Cloud Computing mit Azure durch, die sich inhaltlich bewusst von den Microsft-Kursen abheben und vorzuweise als Bootcamp in eine besonderen Lokation stattfinden. Optional kann aber aber auch remote via Microsoft Teams teilgenommen werden.
Das aktuelle Trainingsprogramm findet sich unter Azure-Trainings. Weitere Informationen und Anmeldung über sein Azure-Blog.